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API fé (App) 世界 运转 


我 们 都 知道 ， 在 当今 社会 ， 是 API 〈 应 用 程式 开发 介面 ) 在 使 世界 运转 。 更 精确 地 褒 ， 它 们 让 不 同 的 现代 应 用 
程式 互相 通讯 。 行 动 或 Web 应 用 程式 可 以 存 取 用 於 储存 和 上 处 理 资料 的 后 端 。API 可 以 是 公用 的 ， 人 允许 来 自 不 
同 公司 的 应 用 程式 进行 通讯 ， 也 可 以 是 私人 的 ， 用 於 内 部 应 用 程式 整合 以 满足 业务 目标 。 

结果 是 什么 ? 更 强大 、 全 面 的 应 用 程式 、 网 站 和 行动 应 用 程式 ， 具 有 更 广泛 的 功能 和 更 多 元 化 的 资料 。 


例如 ， 共 乘 公司 可 以 透 过 付款 公司 的 API 将 其 加 入 ， 而 不 需 从 头 开始 建立 自己 的 付款 服务 。 另 一 个 例子 是 航 
班 里 总 网 站 。 为 了 向 我 们 显示 航班 时 间 、 价格、 目的 地 以 及 我 们 需要 盯 解 的 所 有 其 他 机 票 相关 资讯 ， 他 们 透 
过 API 呼叫 连 线 航空 公司 资料 库 ， 以 提取 正确 的 资料 芷 将 其 显示 在 我 们 的 蒙 总 搜寻 结果 页 面 上 。 

API 的 重要 性 日 益 增长 ， 有 越 来 越 多 公司 形容 自己 为 [API 优先 | 。 在 某 些 情况 下 ， 公 司 的 实际 产品 就 是 一 个 
API， 其 商业 模式 以 使 用 该 API 为 中 心 。 例如， 如 果 一 家 提供 天 气 资 料 的 公司 将 他 们 的 API 作为 他 们 的 产品 > 
其 他 需要 天 气 资讯 的 公司 将 每 月 支付 给 他 们 API 存 取 费 用 。 在 许多 其 他 情况 下 ， 考 让 到 应 用 程式 预期 必须 与 
其 他 应 用 程式 互动 ，API 的 设计 会 与 提供 实际 产品 功能 的 程式 码 的 设计 同时 进行 甚至 在 其 之 前 完成 ， 而 不 是 
在 开发 结束 时 加 上 的 。 


公司 投入 时 间 和 精力 谨慎 设计 他 们 的 API 方法 ， 以 考虑 如 何 公开 正确 的 资料 ， 成 为 收入 和 商业 模式 的 基础 。 
然而 ， 建 置 完美 的 API 芷 不 容易 ， 因 为 就 像 任何 软 朵 一 样 ， 可 能 会 出 现 漏 洞 而 导致 我 们 将 在 此 文件 中 讨论 的 
安全 挑战 。 

总 的 来 说 ，API 无 所 不 在 ， 在 未 来 伙 年 只 会 加 速 发 展 ， 而 且 它们 必须 受到 保护 。 因 此 ， 在 考虑 组 织 API] 安全 
性 时 ， 我 们 将 深入 研究 API REMORE EIA 
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API 涨 势 数据 
流 经 Cloudflare 的 流量 为 API 流量 年 度 增长 


API Mm 


Programmable Web! 指出 ， 目 前 有 超过 24,000 个 已 发 布 的 已 知 API。 然 而 事实 证 明 ， 大 多 数 的 API 都 是 私 
人 的 ， 用 於 将 内 部 应 用 程式 连结 在 一 起 。 私 人 API 的 数量 估计 有 上 百 万 。 

RÈR API 正在 加 速 发 展 ， 而 Cloudflare 就 是 其 成 长 的 直接 见证 。 根 据 Cloudflare Radar 2021 年 上 半年 
的 资料 ，Cloudflare 网 路 上 大 约 有 一 半 的 流量 与 AP| 有 关 。 更 重要 的 是 ， 它 从 2020 年 到 2021 年 成 长 
了 619%。 

考虑 到 它们 公开 重要 资料 ， 我 们 需要 开始 盯 解 它们 如 何 带 来 我 们 必须 保护 的 廉 大 新 攻击 面 。 我 们 怎么 知道 
HIE ? 近年 来 出 现 了 许多 针对 API 的 显著 攻击 。 


thttps://www.programmableweb.com/apis/directory 
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不 断 扩大 的 攻击 面 


我 们 已 经 知道 ，API RAE > WAS SA o 

它们 公开 应 用 程式 的 选辑 且 能 多 与 其 他 应 用 程式 分 享 敏感 

性 资料 o 

而 在 所 有 人 意料 之 中 的 是 ， 攻 击 者 也 知道 这 一 点 ， 

利用 企业 中 这 一 不 断 扩大 的 攻击 面 。 

HEF Gartner 是 正确 的 ， 它 们 断言 ?到 2022 F > API 滥用 将 
[从 不 常见 的 攻击 媒介 转变 为 最 常见 的 攻击 媒介 ， 进 一 步 导 

致 企业 Web 应 用 程式 的 资料 外 浊 。) 

API 是 否 会 成 为 最 受 针对 的 攻 贡 媒介 仍 有 待 观 察 ， 但 很 明确 

的 一 点 是 ，API 将 继续 成 为 攻击 者 的 目标 。 


Ri el ， 是 因为 世界 已 经 目睹 了 一 些 因 API 安全 性 
TERAP 开发 未 考虑 安全 性 而 引起 的 大 型 外 波 事 件 。 


2017 年 ， T-Mobile KA API 攻击 的 受害 者 ， 有 1,500 Bhs 
买 新 装置 或 申请 T-Mobile KEEN RMB ° 资料 
包括 姓名 、 地 址 、 出 生日 期 、 社 会 安全 号 码 、 毗 照 号 码 和 
访 照 号 码 。Vice 报告 指出 攻击 是 透 过 调整 AP| 呼叫 中 的 电 
话 号 码 参 数 进 行 的 。 任 何 使 用 者 的 电话 号 码 都 可 以 被 查询 > 
T-Mobile API 会 传送 回应 ， 包 括 被 查询 的 电话 号 码 拥 有 者 的 
敏感 帐户 资料 。 


mä API 相关 的 外 省 攻击 了 USPS» 因为 攻击 者 发 现 其 
SIRENE RIEMER API 缺乏 基本 授权 。 使 用 者 登入 和 后 ， 
可 以 透 过 使 用 万 用 字 元 搜寻 参数 来 查询 任何 其 他 使 用 者 的 
帐户 资讯 ， 站 迫使 提供 该 资料 集 的 所 有 记 俏 。 这 使 6,000 & 
USPS 帐户 持 有 人 的 资料 处 於 风 除 之 中 。 


Wham 


2 资料 来 源 : Gartner: 
2021 年 3 月 


TAPI 安全 性 : 您 需要 做 什么 来 保 访 您 的 APl」 > 


2019 年 ， 印度 大 型 本 地 搜寻 引 敬 JustDial > 在 已 被 新 版 本 所 
取代 的 但 版 API BEERS > REE FTSE Atl o MENNE > 
该 API RB REA MARR Teh RETI A ABT DUIF 
OY API IPER REATI ARES PME o RARE > FERRI 
订 手 法 即 可 存 取 使 用 者 资料 。 


(EE Facebook 在 GraphOL 方面 具有 领先 地 位 ， 但 仍 因 其 
API 而 多 次 出 现 外 省 。 例 如 ，2019 年 底 ，Facebook 的 资料 
库 被 抓 取 ， 半 致 超过 2.6 信使 用 者 的 姓名 、 电 话 号 码 和 使 用 
者 ID 陷 於 风险 之 中 。 


在 保 访 API 方面 遇 到 困难 的 组 织 不 腾 枚 举 。 原 因 有 钱 项 。 
首先 ， 因 为 不 安全 的 设计 而 造成 的 基础 API GA AES 
并 了 大 门 。 其 次 ， AMES RAL API 优先 的 安全 工具 。 
也 许 他 们 会 使 用 像 是 WAF 或 限 速 之 类 的 Web ZE TA > 但 这 
些 工具 是 为 了 保 访 应 用 程式 而 不 是 为 了 保 访 API 而 建 的 。 
这 可 能 会 造成 误 判 等 问题 ， 逆 明确 了 为 线 乎 全 自动 化 的 流量 
设计 API 安全 性 的 需求 。 
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修改 版 ! 新 的 十 大 OWASP API 


在 这 其 中 可 以 看 到 的 一 线 曙 光 是 ，OWASP 基金 会 (一 个 
长 期 专注 於 改善 应 用 程式 安全 性 的 组 织 ) 已 经 参与 其 中 。 
OWASP UR [Web 应 用 程式 十 大 安全 风险 」 而 知名 ， 现 在 
他 们 发 布 了 TAPI 十 大 安全 风险 1 ， 这 是 一 个 主要 API 安全 
性 风 队 和 漏洞 的 清单 。 

事实 上 ， 长 期 以 来 我 们 对 应 用 程式 安全 性 的 担 有 过， 在 建 置 和 
(rak API 方面 也 是 相同 的 。 

首先 ， 任 何以 API 优先 的 组 织 在 设计 API 时 都 必须 预先 考虑 
安全 性 。 访 我们 研究 一 下 刚才 提 到 的 一 些 攻击 ， 以 及 它们 利 
用 的 OWASP 安全 性 风险。 


十 大 OWASP API 


10. 


. 无 效 的 物件 层级 授权 


使 用 者 验证 受 损 


资料 暴露 过 多 


缺乏 资源 与 限 速 


无 效 功 能 层级 授权 


大 量 指派 


资料 隐 码 


不 当 的 资产 管理 


记录 和 监控 不 足 
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关键 API 安全 性 挑战 


1. 无 效 的 验证 和 授权 
让 我 们 从 验证 和 授权 开始， 深入 检视 上 述 攻 击 利用 的 线 个 关键 OWASP API 风险。 


JustDial 因 其 端点 上 的 验证 无 效 而 遭遇 攻击 ， 和 无 效 验 证 使 得 任何 人 都 可 以 发 送 API call 质询 。 实 作 有 验证 后 ， 
只 有 具有 正确 TLS certificate, API Keys, Web Tokens 等 的 API 呼叫 才 被 允许 发 出 请 求 ， 从 而 显著 降低 了 
API 安全 性 风险。 

再 来 看 看 OWASP 清单 上 的 第 一 名 ， 就 像 我 们 在 USPS 和 T-Mobile 的 例子 中 所 见 的 ， 许 多 API 攻击 利用 效 
能 弱 、 和 无 效 或 不 存在 的 授权 。 和 无 效 的 物件 层级 授权 很 常见 一 透 过 将 API 端点 有 权 存 取 之 物件 ID 号 码 替 换 为 
它们 无 权 存 取 之 物件 ID 号 码 > 来 利用 API 端点 。 通 常 只 需 更改 请 求 中 的 物件 ID， 它们 就 可 以 未 经 授权 而 存 
REN ° 


API 路 径 和 查询 参 数 包括 被 存 取 的 资源 ID : 
经 授权 的 呼叫 : 


GET api.greatsampleapis.com/v1/users/235 ， 其 中 235 是 使 用 者 ID 。 


被 操纵 的 API 呼叫 可 以 透 过 将 235 改 成 236 来 进行 未 经 授权 的 存 取 ， 即 调整 物件 识别 码 (此 例子 中 为 
userlD) 以 存 取 使 用 者 236 的 资料 。 


GET api.greatsampleapis.com/v1/users/236 


如 果 没有 进行 授权 控制 ， 这 可 能 会 成 功 。 开 发 人 员 应 该 对 其 终端 用 户 进行 威 青 行 忆 建 模 ， 以 确保 攻击 无 法 
调整 或 修改 物件 ID 值 以 存 取 其 他 资料 。 使 用 不 可 预测 的 物件 ID (Eth SMB) > EUR > ID 值 就 不 是 连续 性 的 
且 不 易 被 猜 到 。 
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2. 大 量 指派 、 资 料 暴露 和 资料 隐 码 攻击 

另 一 类 攻 敬 在 回应 中 暴露 过 多 资料 ， 或 允许 使 用 输入 修改 内 部 物件 。 

当 API 希望 大 量 公开 物件 属性 站 在 回应 中 传 回 过 多 资料 时 ， 就 会 发 生 资料 暴露 ， 这 依 顿 认 用 户 端 发出 请 求 来 
节选 资料 。 

攻击 者 可 以 使 用 回应 中 的 其 他 详细 资料 来 建立 更 强大 的 攻击 或 网 路 的 灸 电子 邮件 。 例 如 ， 如 果 回 应 传 回 以 下 
所 有 资料 ， 则 其 可 以 撰 富 非 常 具 褒 服 力 的 网 路 钓 象 电 子 邮 件 : 


“gna 

“FirstName” : “Sanjay” , 

“LastName” : “Smythe” , 

“EmailAddress” : “ssmythe@hacketyhack.com” , 

“Occupation” : “Assistant to the Deputy Associate Vice Sub-undersecretary” , 
“DOB” : “1986-05-21” , 

“Bank” : “Easygo Financial” , 

“AccountNumber” : 1362886306, 


“PetName” : “Aloysius” , 


当 API ARS ABBY MEE > XETRA EELT API 呼叫 以 更 改 或 利用 内 部 值 。 
OWASP 指出 : 
VERSE BEA REEN HTTP 质询 参数 权 结 到 程序 码 变 量 或 对 象 中 ， 让 开发 人 员 更 容易 使 
用 该 架构 ..….. 攻 现 者 有 时 可 以 使 用 此 方法 来 建立 开发 人 员 未 曾 打算 建立 的 新 参数 ， 从 而 在 程式 码 中 建立 
或 覆 高 计划 外 的 新 变量 或 对 象 。] 
开发 人 员 应 该 怎么 做 ? 他 们 应 晾 解 在 开发 中 呼叫 大 量 指派 时 的 浇 在 风险 ， 瘟 避免 暴露 任何 可 被 利用 的 内 部 物 
件 或 变数 。 也 应 考虑 可 由 用 户 端 更 新 的 Allowlisting 属性 。 
Web 应 用 程式 一 直 以 来 都 很 容易 受到 资料 注入 攻击 ，API 也 不 例外 。 饥 於 资料 注入 攻击 是 大 家 很 熟悉 的 ， 
我 们 就 不 在 此 详 壕 ， 但 需要 强调 的 是 ， 在 传 第 输入 的 资料 前 ， 应 对 其 进行 验证 和 清理 。 和 组 织 应 探 取 措 施 > 
防止 在 API 回应 中 当 露 资料 ， 芷 限制 可 回 传 的 记 俏 数 ， 以 防止 大 规模 暴露 事件 。 
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3. 立 源 滥用 和 影子 / 流 谍 API 

其 他 攻击 可 能 会 滥用 AP1， 以 让 它们 消耗 过 多 运算 资源 一 使 其 不 堪 重负 ， 而 遭受 类 似 DoS 的 攻击 。 如 果 
不 限制 每 个 用 户 端 /资源 的 请 求 数 、 单 次 回应 中 回 传 的 记 俏 数 或 请 求 有 效 承载 规模 等 ， 就 会 为 这 些 攻 击 敞 开 
大 门 。 

正如 我 们 在 JustDial MESA A > BRAT API 可 能 会 被 遗忘 ， 由 於 它们 很 可 能 未 受 保护 站 且 可 以 被 
利用 ， 因 而 成 为 影子 或 流氓 API。 和 与 其 他 方面 的 安全 性 一 样 ， 我 们 必须 瞳 解 我 们 的 IT 资产 或 攻击 面 ， 才 能 进 
行 适 当 的 网 路 安全 管控 。 对 我 们 整个 API 端点 资产 的 可 见 度 也 是 如 此 。 

团队 在 开发 API 时 ， 应 有 完善 的 流程 来 追 跳 API RAS > LIBRA EPEAT API 以 及 已 被 取代 的 API o 


保护 API 的 注意 事项 


我 们 已 经 介绍 了 API 、 它 们 的 重要 性 以 及 针对 API HIE EES o BARRIERE F Cloudflare 如 何 建立 
API 安全 性 ， 以 保 访 API 免 受 最 常见 的 攻击 。 有 效 的 API 安全 性 必须 考虑 到 和 从 可 见 度 、 正 面 安全 性 模型 到 阻 
止 滥用 等 各 个 方面 ， 从 而 实现 资料 保 访 的 。 


Cloudflare API Shield 


# o gf 9 © E 


第 3 EM API JRE 增强 式 验 证 正面 Sla ARIA REA EHAA 


可 网 度 的 基础 


JRE 

就 像 网 路 安全 的 其 他 方面 一 样 ， 我 们 首先 必须 看 到 要 保护 的 东西 ， 然 后 才能 对 其 进行 保护 。API 也 一 样 ， 
特别 是 当 公 司 有 数 百 个 甚至 数 和 干 个 API 端点 时 。 

API 探索 和 可 见 度 是 管理 API 的 关键 基础 面 ， 让 组 织 能 够 始终 清 匠 脐 解 其 API 端点 资产 的 状况 ， 以 防止 影 
或 流氓 API 成 为 问题 。 

就 像 我 们 在 JustDial 事件 中 所 见 ， 如 果 和 组 织 无 法 追 跳 API， 就 可 能 会 导致 资料 外 淑 。 
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API ERE 


API 第 7 BRE 


我 们 长 期 以 来 一 直 在 部 署 Web 应 用 程式 防火 粮 来 保 访 应 用 程式 免 受 第 7 B DDoS WE o API 保护 应 该 从 许多 
可 靠 的 控制 开始 ， 例 如 限 速 和 DDOS 防 访 ， 以 防止 阻 断 服务 攻 现 和 僻 力 登入 党 试 以 及 由 特定 IP 位 址 执行 的 一 
般 滥 用 。 这 将 强制 执行 API 使 用 限制 ;， 疗 对 抗 OWASP API 4 一 一 缺少 资源 和 限 速 ， 确 保 可 用 性 。 


WAF 规则 过 应 该 用 於 识别 和 封锁 针对 API 的 常见 攻击 。 


mTLS 验证 

在 我 们 概述 的 API 攻 贡 中 可 以 看 到 ， 缺 乏 验 证 可 能 是 毁 沽 性 的 。 验 证 必 须 在 初始 时 就 内 建 ， 逆 且 应 使 用 交互 
TLS 加 强 ， 以 针对 行动 或 物 联网 (IT) 等 用 例 强 制 执 行 基 於 至 证 的 身分 识别 。 这 种 方法 是 一 种 更 正面 的 允许 
清单 模型 ， 只 人 允许 来 自 具有 有 效 逢 证 的 合法 用 户 端的 请 求 连 线 。 


暴露 源 证 检查 

API 无 法 避免 瓶 证 填充 攻击 ， 这 种 攻击 会 使 用 被 盗 的 漂 证 循环 当 试 登入 。 这 些 帐 户 兰 证 可 能 会 因 组 织 无 法 控 
制 的 第 三 方 外 涉 而 遭 到 涉 露 。 作 为 验证 检查 的 一 部 分 API ZENE KREK ST AIMS EE NLET EA BH 
描 验 证 惩 证 。 如 果 惩 证 看 起 来 像 是 盗用 的 ，API 安全 性 应 该 触发 其 他 安全 措施 ， 如 重 设 密码 或 多 重 因素 
验证 ， 当 然 ， 还 有 封锁 该 当 试 。 
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API 安全 性 指南 


‘data’ 
API 呼叫 : O 


API Shield 
与 结构 描述 保 访 


一 一 一 


OpenAPI 结构 描述 


结构 描述 验证 根据 API 结构 描述 记 作 记录 对 每 个 请 求 进行 评估 ， 瘟 封锁 不 符合 要 求 的 请 求 。 


EH API 保 访 

API 结构 描述 验证 

开发 人 员 竭 素 全 力 地 建立 API 结构 描述 ， 也 就 是 他 们 希望 其 他 人 如 何 与 API 互动 的 文件 或 基本 规则 。 这 可 以 
确立 一 些 事情 ， 例 如 在 每 个 端点 (GET /users, POST /users) 上 的 请 求 方式 和 操作 ， 或 每 个 操作 的 输入 和 输出 
参数 。OpenAPI v3， 亦 称 Swagger 标准 ， 是 用 於 定义 API 的 最 知名 结构 描述 。 

可 靠 的 API 安全 性 应 使 用 在 该 结构 描述 上 执行 的 正 向 Zero Trust 模型 。 

有 了 结构 描述 后 ， 应 根据 它 自动 验证 请 求 。 除 了 那些 已 被 验证 为 符合 结构 描述 的 操作 外 ， 封 锁 其 他 所 有 API 
操作 。 
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